RSS KitPloit - инструменты PenTest! - TheNote.app

RSS KitPloit - инструменты PenTest!
Подписаться

KitPloit - это комплексный фреймворк кибербезопасности с открытым исходным кодом, предназначенный для системных операций, тестирования на проникновение и обучения кибербезопасности. Он предоставляет обширный набор инструментов для проведения этического взлома, аудита безопасности и обучения пользователей тестированию на проникновение. Сайт направлен на повышение уровня этического взлома и осведомленности пользователей о безопасности благодаря удобному графическому интерфейсу, который упрощает сложные процедуры тестирования на проникновение. Он работает с несколькими платформами тестирования на проникновение и предлагает гибкую и расширяемую структуру, которая регулярно обновляется для решения новых проблем безопасности и векторов эксплойтов.

RSS feeds.feedburner.com

KitPloit - PenTest Tools! kitploit.com

RSS Hunter • 22 авг. 2024 г.

Трэд заметок

Shodan-Dorks — дорки для Shodan; мощный инструмент для поиска подключенных к интернету устройств

Этот репозиторий GitHub содержит набор поисковых запросов, известных как «дорки», для Shodan — мощного инструмента поиска интернет-устройств. Дорки предназначены для помощи исследователям безопасности в обнаружении потенциальных уязвимостей и проблем конфигурации различных типов устройств. Этот ресурс полезен как для начинающих, так и для опытных специалистов в области информационной безопасности. Используя этот репозиторий, пользователи могут повысить безопасность своих собственных сетей и защититься от потенциальных атак. Репозиторий включает в себя широкий спектр поисковых запросов, в том числе для конкретных устройств, программного обеспечения и конфигураций. Эти запросы могут быть использованы для выявления потенциальных уязвимостей и слабых мест в устройствах и системах. Поисковые запросы сгруппированы по типу устройства, программному обеспечению и конфигурации, что упрощает поиск конкретных уязвимостей. Репозиторий является ценным ресурсом для исследователей безопасности, специалистов по пентесту и системных администраторов. Он предоставляет исчерпывающий список поисковых запросов, которые можно использовать для выявления потенциальных уязвимостей и слабых мест в устройствах и системах.

Shodan-Dorks - Dorks for Shodan; a powerful tool used to search for Internet-connected devices kitploit.com

RSS Hunter • 11 мая 2025 г.

Pegasus-Pentest-Arsenal — комплексный инструментарий для тестирования безопасности веб-приложений, объединяющий 10 мощных функций для пентестинга в одном инструменте.

Pegasus-Pentest-Arsenal — это всеобъемлющий набор инструментов для тестирования безопасности веб-приложений, объединяющий 10 мощных функций пентестинга в одном инструменте. Набор инструментов был создан Letda Kes Dr. Sobri, S.Kom, и доступен на GitHub. Функции набора включают в себя: обнаружение субдоменов, сканер HTTP, инспектор токенов JWT, поиск загрязнения параметров, сканер неправильной конфигурации CORS, тестировщик обхода загрузки файлов, поиск открытых директорий .git, детектор SSRF, детектор задержки времени при слепой инъекции SQL и отображатель включения локальных файлов. Набор инструментов можно установить, клонировав репозиторий, создав виртуальное окружение и установив зависимости. Набор инструментов предназначен только для образовательных целей и авторизованного тестирования и должен использоваться ответственно и этично. Пользователи несут ответственность за получение соответствующего разрешения перед тестированием любой цели, и авторы не несут ответственности за любое неправильное использование или ущерб, причиненный этим инструментом. Набор инструментов распространяется по лицензии MIT, и пользователи могут внести свой вклад в проект, форкнув репозиторий, создав ветку функций, зафиксировав изменения, отправив их в ветку и создав запрос на включение. Набор инструментов требует Python 3.8+ и определенных пакетов, перечисленных в файле requirements.txt. Набор инструментов должен использоваться только в образовательных и авторизованных целях, и пользователи всегда должны получать соответствующее разрешение перед тестированием любой цели.

Pegasus-Pentest-Arsenal - A Comprehensive Web Application Security Testing Toolkit That Combines 10 Powerful Penetration Testing Features Into One Tool kitploit.com

RSS Hunter • 11 мая 2025 г.

Ведьмак — управление элементами расширенной безопасности GitHub (GHAS) в масштабе

Witcher — это инструмент на NodeJS, предназначенный для реализации и мониторинга мер безопасности приложений в масштабе GitHub. Он поддерживает такие модули, как GHAS, Dependabot, Secret Scanning, CodeQL, IaC и Workflows. Инструмент позволяет пользователям включать, отключать, проверять статус и управлять оповещениями для этих модулей в рамках всей организации. Witcher можно установить и запустить с помощью Docker, используя переменные окружения для аутентификации в GitHub и для необязательной интеграции с другими сервисами. Witcher предлагает такие функции, как ежедневные сводки, массовые действия и интеграцию со Slack, SIEM и Jira. Репозитории можно исключить из основных функций с помощью конфигурационного файла. Общие команды включают в себя отображение статуса GHAS, включение/отключение GHAS и получение информации об уязвимостях в коде. Ежедневная сводка предоставляет всеобъемлющий обзор статусов безопасности, включая GHAS, Dependabot и сканирование кода. Witcher исключает из своей работы публичные, заархивированные и устаревшие репозитории и имеет план развития на будущее.

Witcher - Managing GitHub Advanced Security (GHAS) Controls At Scale kitploit.com

RSS Hunter • 9 мая 2025 г.

ByeDPIAndroid - Приложение для обхода цензуры на Android

ByeDPIAndroid - это приложение для Android, предназначенное для обхода глубокого анализа пакетов (DPI) и цензуры, запуская локальный прокси SOCKS5. Приложение перенаправляет весь трафик через ByeDPI без требования доступа к корневому доступу. Оно не шифрует трафик или скрывает IP-адрес пользователя, как традиционный VPN. Пользователи могут настроить параметры для обхода конкретных блокировок, ссылаясь на подробности в документации ByeDPI. Приложение совместимо с AdGuard, когда настроено в режиме прокси и добавлено в исключения AdGuard. ByeDPIAndroid не собирает пользовательских данных, обрабатывая весь трафик локально на устройстве. DPI - это технология анализа трафика, используемая для блокировки веб-сайтов и сервисов. Приложение зависит от зависимостей ByeDPI и hev-socks5-tunnel. Для сборки приложения требуются JDK 8+, Android SDK, Android NDK и CMake 3.22.1+. Установка может быть выполнена через Obtainium, используя предоставленный URL-адрес GitHub.

ByeDPIAndroid - App To Bypass Censorship On Android kitploit.com

RSS Hunter • 8 мая 2025 г.

API для OSINT - Список API для сбора информации о телефонных номерах, адресах, доменах и т.д.

Это компиляция полезных API для автоматизации задач разведки с открытыми источниками (OSINT). Она охватывает различные категории, включая поисковые системы для IoT/IP, такие как Shodan и Censys, предоставляющие данные об устройствах и хостах. Универсальные OSINT API, такие как Social Links, предлагают поиск по электронной почте и социальным сетям, некоторые из них платные. Сервисы поиска и проверки номеров телефонов включают Numverify и Twilio, с различными моделями ценообразования. Перечислены API для поиска адресов и почтовых индексов, такие как Global Address и Google Maps Geocoding, некоторые из которых предоставляют бесплатный доступ. Включены сервисы для проверки людей и документов, такие как Approuve.com и Onfido.com, в основном для проверки личности. API для поиска компаний и организаций, такие как Open Corporates и LinkedIn, предназначены для получения информации о компаниях. Инструменты для поиска доменов, DNS и IP, такие как API OSINT DS и InfoDB API, предлагают информацию о доменах и IP-адресах. Перечислены API для конечных точек мобильных приложений и инструменты для веб-скрейпинга, такие как WebScraping.AI, для извлечения данных из мобильных приложений и веб-сайтов. Наконец, компиляция включает API для данных WHOIS, геолокации, поиска Wi-Fi, сетевой информации, финансов, проверки электронной почты, анализа имен, поиска утечек данных, веб-архивов, расшифровки хэшей и информации о криптовалютах.

API-s-for-OSINT - List Of API's For Gathering Information About Phone Numbers, Addresses, Domains Etc kitploit.com

RSS Hunter • 7 мая 2025 г.

Firecrawl-Mcp-Server — официальный сервер Firecrawl MCP — добавляет мощные возможности веб-скрапинга к клиентам Cursor, Claude и любым другим клиентам LLM.

Этот документ описывает реализацию сервера протокола контекста модели (MCP) с использованием Firecrawl для веб-скрапинга. Сервер предлагает такие функции, как веб-скрапинг с рендерингом JS, обход URL-адресов, извлечение контента и пакетный скрапинг. Он поддерживает как облачные, так и самохостинговые экземпляры Firecrawl и интегрируется с Cursor, Windsurf и Claude Desktop. Инструкции по установке предоставляются для каждой платформы, включая детали конфигурации для API-ключей и дополнительных параметров. Доступно несколько инструментов, включая инструменты для скрапинга, пакетного скрапинга, поиска, обхода, извлечения, глубокого исследования и генерации llms.txt. Использование и параметры каждого инструмента объясняются с примерами. Сервер включает в себя логику повторных попыток, мониторинг использования кредитов и ограничение скорости для надежной работы. Также включены всесторонние механизмы ведения журнала и обработки ошибок. Примеры конфигурации демонстрируют, как настроить поведение повторных попыток, пороговые значения кредитов и конечные точки API. Сервер призван обеспечить надежное и эффективное решение для различных задач веб-скрапинга.

Firecrawl-Mcp-Server - Official Firecrawl MCP Server - Adds Powerful Web Scraping To Cursor, Claude And Any Other LLM Clients kitploit.com

RSS Hunter • 6 мая 2025 г.

Deep-Live-Cam - Замена лица в режиме реального времени и создание видео-деепфейка в один клик с помощью только одного изображения

Deep-Live-Cam – это программа для замены лиц в реальном времени и создания дипфейков видео, требующая всего одного изображения. Она предназначена для творческих применений, таких как анимация персонажей и создание контента, но включает в себя меры предосторожности против злоупотреблений. Программа предотвращает обработку неприемлемого контента, такого как нагота или графическое насилие. Этичное использование требует согласия пользователей для реальных лиц и четкой маркировки дипфейков. Юридическое соответствие является приоритетом; проект может быть закрыт или помечен водяными знаками, если это необходимо. Пользователи несут единоличную ответственность за свои действия и соблюдение правовых и этических норм. Программа предлагает такие функции, как маскировка рта, сопоставление лиц для нескольких объектов и возможности для живых выступлений. Для установки требуются технические навыки; доступны предварительно собранные версии. Ускорение GPU поддерживается для более быстрой обработки через CUDA, CoreML, DirectML или OpenVINO. Программа может работать в режимах изображения/видео или веб-камеры, с возможностями для различных параметров и качества вывода.

Deep-Live-Cam - Real Time Face Swap And One-Click Video Deepfake With Only A Single Image kitploit.com

RSS Hunter • 5 мая 2025 г.

CAMEL - Первая и лучшая многоагентная платформа. Поиск закона масштабирования для агентов.

CAMEL - это сообщество с открытым исходным кодом, сосредоточенное на изучении законов масштабирования для агентов посредством крупномасштабных исследований. Фреймворк поддерживает различных агентов, задачи, промпты, модели и симулированные среды для облегчения исследований. Принципы проектирования CAMEL делают акцент на эволюционности, масштабируемости, сохранении состояния и использовании кода как промпта для эффективного взаимодействия агентов. Исследователи используют CAMEL для моделирования крупномасштабных агентных систем, обеспечения динамической коммуникации и наделения агентов памятью с сохранением состояния. Он поддерживает несколько бенчмарков, разнообразные типы агентов и автоматизирует генерацию данных, легко интегрируясь с различными инструментами. CAMEL позволяет создавать системы генерации данных, инструменты автоматизации задач и симуляции мира. Начать работу легко с помощью pip install camel-ai, а затем настроить ключ API OpenAI. Технологический стек CAMEL включает модули для агентов, сообществ агентов, генерации данных, моделей и памяти. CAMEL поощряет вклад в исследования и предоставляет синтетические наборы данных с визуализациями инструкций и задач. Платформа предлагает практические руководства для создания агентов и мультиагентных систем, включая расширенные функции, такие как RAG (Retrieval-Augmented Generation - генерация с извлечением) и графы знаний.

CAMEL - The First And The Best Multi-Agent Framework. Finding The Scaling Law Of Agents kitploit.com

RSS Hunter • 4 мая 2025 г.

Лиам - автоматически генерирует красивые и легко читаемые ER-диаграммы из вашей базы данных

Лиам ERD - это инструмент, который генерирует интерактивные ER-диаграммы из баз данных, делая легко понять сложные схемы. Он имеет красивый и чистый дизайн с функциями, такими как панорамирование, масштабирование и фильтрация. Инструмент может без усилий преобразовать существующие схемы баз данных в ясные диаграммы с нулевым настройкой. Лиам ERD оптимизирован для как маленьких, так и больших проектов, обрабатывая более 100 таблиц с высокой производительностью. Инструмент полностью открытый исходный код, позволяющий пользователям вносить вклад в проект и формировать его в соответствии с их потребностями. Чтобы начать работу с общедоступными репозиториями, пользователи могут просто вставить URL в файл схемы. Для частных репозиториев пользователи могут запустить интерактивную настройку с помощью команды. Проект является открытым исходным кодом и приветствует поддержку в виде звезд, которые помогают достичь более широкой аудитории и продолжать разработку. Полная документация для Лиама ERD находится на веб-сайте, а дорожная карта описывает, что ожидает в будущем. В целом, Лиам ERD - это полезный инструмент для визуализации баз данных с легкостью.

Liam - Automatically Generates Beautiful And Easy-To-Read ER Diagrams From Your Database kitploit.com

RSS Hunter • 3 мая 2025 г.

SubGPT — находите субдомены с помощью GPT, бесплатно

SubGPT — это бесплатный инструмент, который использует BingGPT для поиска дополнительных поддоменов на основе уже обнаруженного списка поддоменов для определенного домена. Инструмент можно установить с помощью pip или клонировав репозиторий на GitHub и запустив файл setup.py. Для использования SubGPT требуется cookie Bing, которую можно получить, установив расширение для редактирования cookie, войдя на Bing.com и скопировав cookie. Стандартный способ запуска SubGPT — указать входной файл, выходной файл и путь к файлу cookies.json. Если выходной файл не указан, вывод будет отображаться в терминале. SubGPT также можно использовать для генерации поддоменов без их разрешения, используя опцию --dont-resolve. Инструмент предназначен для использования после обнаружения некоторых поддоменов другими методами, и важно убедиться, что список поддоменов содержит только поддомены из одного домена. SubGPT анализирует записи A/CNAME, чтобы определить, существует ли поддомен, и может обнаруживать wildcard для поддоменов первого уровня, обрабатывая их автоматически.

SubGPT - Find Subdomains With GPT, For Free kitploit.com

RSS Hunter • 2 мая 2025 г.

Уро - Очищает списки URL для поиска уязвимостей/тестирования на проникновение

"Uro - это инструмент, предназначенный для уточнения списков URL-адресов для тестирования безопасности путем удаления избыточных и неинтересных записей. Он работает без отправки запросов HTTP, анализируя URL-адреса на основе их структуры. Uro удаляет дубликаты страниц, такие как постраничный контент, записи блогов и URL-адреса, отличающиеся только значениями параметров. Он также фильтрует общие веб-ресурсы, такие как изображения, скрипты и таблицы стилей. Установка обычно производится с помощью pipx. Базовое использование предполагает передачу списка URL-адресов в uro. Расширенные функции включают чтение и запись URL-адресов из файлов. Пользователи могут добавлять в белый список или черный список конкретные расширения файлов. Детальный фильтр доступен через опции, такие как "hasparams", "noext" и "vuln". Uro направлен на предоставление краткого и релевантного списка URL-адресов для эффективного анализа безопасности."

Uro - Declutters Url Lists For Crawling/Pentesting kitploit.com

RSS Hunter • 2 мая 2025 г.

Wshlient - Простой инструмент для взаимодействия с веб-шеллом и уязвимостями внедрения команд

Wshlient - это веб-шелл клиент, простой, но многофункциональный, позволяющий пользователям создавать шелл, внедряя команды в HTTP-запросы. Чтобы использовать Wshlient, пользователям необходимо создать текстовый файл, содержащий HTTP-запрос, и указать, куда следует внедрять команды. Инструменту требуется только библиотека "requests", которую можно установить с помощью pip или запустив файл requirements.txt. После установки пользователи могут запустить Wshlient, используя команду "./wshlient.py -h" для просмотра меню справки. Меню справки отображает различные доступные опции, включая включение отладочного вывода, замену пробелов на $IFS и отключение URL-кодирования команд. Пользователи также могут указать токены для обозначения начала и конца вывода. Wshlient открыт для вклада, который можно внести, используя и распространяя инструмент, сообщая об ошибках, предлагая функции или занимаясь кодированием. Цель - сохранить Wshlient простым и удобным в использовании. Инструмент можно скачать из его репозитория GitHub. В целом, Wshlient предоставляет удобный способ создания шелла путем внедрения команд в HTTP-запрос.

Wshlient - A Simple Tool To Interact With Web Shells And Command Injection Vulnerabilities kitploit.com

RSS Hunter • 30 апр. 2025 г.

Pulsegram - Интегрированный кейлоггер с Telegram.

PulseGram — это кейлоггер, интегрированный с Telegram-ботом, предназначенный для использования в моделировании атак и в контексте тестирования безопасности. Он захватывает нажатия клавиш, содержимое буфера обмена и делает скриншоты, отправляя эту информацию в настроенный Telegram-бот. Этот инструмент предназначен исключительно для образовательных целей и тестирования безопасности в авторизованных средах, и несанкционированное использование может быть незаконным. PulseGram обладает функциями захвата нажатий клавиш, мониторинга буфера обмена, периодических скриншотов и ведения журнала ошибок. Для установки клонируйте репозиторий, установите зависимости и настройте токен Telegram-бота. Инструмент состоит из трех модулей: pulsegram.py, helpers.py и keylogger.py, которые отвечают за инициализацию бота, вспомогательные функции и ведение журнала клавиш соответственно. Пользователи могут настроить интервалы времени захвата и отправки нажатий клавиш, скриншотов и содержимого буфера обмена. Проект лицензирован по лицензии MIT, и приветствуются вклады, но пользователи должны соблюдать кодекс поведения. Несанкционированное использование PulseGram может нарушать местные законы и политику конфиденциальности. Инструмент доступен для скачивания и должен использоваться только в авторизованных средах.

Pulsegram - Integrated Keylogger With Telegram kitploit.com

RSS Hunter • 29 апр. 2025 г.

Scrapling — Необнаруживаемая, мощная, гибкая, высокопроизводительная библиотека Python, которая снова делает веб-скрейпинг простым и лёгким!

Scrapling — это высокопроизводительная, интеллектуальная библиотека для веб-скрейпинга на Python, которая адаптируется к изменениям веб-сайтов и превосходит по производительности популярные аналоги. Она предоставляет мощные функции, сохраняя при этом простоту использования как для начинающих, так и для опытных пользователей. Scrapling позволяет пользователям получать данные с веб-сайтов удобным для них способом с поддержкой асинхронности, обходить защиту от ботов и извлекать данные, которые не изменяются при изменении дизайна сайта. Библиотека включает в себя интеллектуальное отслеживание элементов, гибкий выбор и интеллектуальное извлечение контента. Scrapling также очень производительна, отличается высокой скоростью, эффективным использованием памяти и быстрой сериализацией JSON. Библиотека имеет удобный для разработчиков API с мощной навигацией, обработкой структурированного текста и автоматическим созданием селекторов. Для начала работы пользователи могут установить Scrapling с помощью pip, а затем импортировать необходимые средства извлечения данных и классы. Scrapling предоставляет различные средства извлечения данных, включая Fetcher, AsyncFetcher, StealthyFetcher и PlayWrightFetcher, каждый со своими функциями и настройками. Библиотека также содержит бенчмарки, сравнивающие её производительность с популярными библиотеками Python, показывая, что Scrapling находится на одном уровне с Scrapy и немного быстрее, чем Lxml. В целом, Scrapling — это мощная и эффективная библиотека для веб-скрейпинга, которая упрощает извлечение данных с веб-сайтов.

Scrapling - An Undetectable, Powerful, Flexible, High-Performance Python Library That Makes Web Scraping Simple And Easy Again! kitploit.com

RSS Hunter • 28 апр. 2025 г.

VulnKnox - Обертка на Go для API KNOXSS, предназначенная для автоматизации тестирования на XSS-уязвимости.

VulnKnox – это инструмент командной строки, написанный на Go, который взаимодействует с API KNOXSS для автоматизации тестирования URL-адресов на наличие уязвимостей Cross-Site Scripting (XSS). Он поддерживает ввод через конвейер, настраиваемые повторные попытки и тайм-ауты, а также расширенные функции, такие как Advanced Filter Bypass и Flash Mode. Инструмент можно настроить для использования пользовательских заголовков, поддержки прокси и интеграции с веб-хуками Discord для уведомлений. Чтобы использовать VulnKnox, пользователям необходимо настроить его, получив ключ API KNOXSS и отредактировав файл config.json. Инструмент можно использовать для тестирования отдельных URL-адресов или входных файлов, содержащих несколько URL-адресов, с опциями для настройки HTTP-метода, POST-данных и вывода. VulnKnox предоставляет подробный вывод с результатами, выделенными цветом, включая индикаторы для успешных XSS-пейлоадов, безопасных ответов, ошибок и пропущенных доменов. Инструмент также предоставляет сводку в конце выполнения, включая количество сделанных запросов и успешных XSS-находок. Вклад в проект приветствуется, и он распространяется под лицензией MIT. VulnKnox – это мощный инструмент для автоматизации тестирования на уязвимости XSS, а его расширенные функции делают его ценным активом для специалистов по безопасности. В целом, VulnKnox – это универсальный и настраиваемый инструмент для выявления XSS-уязвимостей в веб-приложениях.

VulnKnox - A Go-based Wrapper For The KNOXSS API To Automate XSS Vulnerability Testing kitploit.com

RSS Hunter • 27 апр. 2025 г.

Camtruder — расширенный инструмент для обнаружения RTSP-камер и оценки уязвимостей.

Camtruder — это высокопроизводительный инструмент для обнаружения и оценки уязвимостей RTSP-камер, написанный на Go. Он эффективно сканирует и идентифицирует уязвимые RTSP-камеры в сетях, используя различные методы аутентификации и комбинации путей. Инструмент поддерживает как целевое сканирование, так и сканирование всего интернета. Ключевые функции включают в себя расширенные возможности сканирования, захват скриншотов, настраиваемую директорию вывода, поиск по местоположению, всестороннее тестирование аутентификации, интеллектуальное обнаружение путей и высокопроизводительную архитектуру. Для работы Camtruder требуется Go 1.19 или выше, ffmpeg для функциональности захвата скриншотов, подключение к интернету и права root/администратора для некоторых режимов сканирования. Инструмент можно установить с помощью go install или клонированием репозитория и сборкой из исходного кода. Базовые команды включают сканирование отдельного IP-адреса, диапазона сети или местоположения, а также создание скриншотов обнаруженных камер. Расширенные опции включают в себя пользовательские учетные данные, увеличенное количество потоков и поиск по местоположению с необработанным выводом, передаваемым в другие инструменты. Camtruder предназначен только для исследовательских целей в области безопасности и авторизованного тестирования, и пользователи должны убедиться, что у них есть разрешение на сканирование целевых систем и соблюдение применимых законов и нормативных актов.

Camtruder - Advanced RTSP Camera Discovery and Vulnerability Assessment Tool kitploit.com

RSS Hunter • 26 апр. 2025 г.

Frogy 2.0 - Автоматизированный инструментарий для внешней разведки и управления поверхностью атаки (ASM).

Frogy 2.0 - это автоматизированный инструментарий для внешней разведки и управления поверхностью атаки (ASM), который составляет карту всего присутствия организации в Интернете, выявляя активы, IP-адреса, веб-приложения и метаданные. Он определяет приоритеты активов от наибольшей до наименьшей привлекательности с точки зрения злоумышленников. Инструментарий включает в себя всестороннюю разведку, проверку активов в реальном времени, углубленную веб-разведку, интеллектуальную расстановку приоритетов и профессиональную отчетность. Оценка риска основывается на привлекательности активов и учитывает такие факторы, как назначение, найденные URL-адреса, интерфейсы входа, статус HTTP, версия TLS, срок действия сертификата, отсутствие заголовков безопасности, открытые порты и технологический стек. Каждый фактор вносит свой вклад в итоговую оценку риска, помогая охотникам за головами и пентестерам сосредоточиться на наиболее перспективных целях. Инструмент генерирует динамический HTML-отчет с цветовой кодировкой, современным дизайном и переключателем темной/светлой темы. Отчет содержит оценку риска для каждого актива, указывая на более широкую "поверхность атаки", которую могут использовать противники. Frogy 2.0 помогает командам безопасности быстро определить приоритеты активов, требующих более глубокого тестирования, уделяя особое внимание тем из них, которые имеют большое количество открытых портов, расширенное внутреннее использование, отсутствующие заголовки или панели входа в систему. Инструментарий прост в установке и использовании, имеется видеодемонстрация. Дорожная карта дальнейшего развития включает в себя добавление данных, связанных с безопасностью и соответствием нормативным требованиям, фильтрацию данных по столбцам и улучшение приоритетов для выбора целей.

Frogy2.0 - An Automated External Reconnaissance And Attack Surface Management (ASM) Toolkit kitploit.com

RSS Hunter • 25 апр. 2025 г.

PEGASUS-NEO - Комплексная платформа для пентеста, разработанная для специалистов по безопасности и этичных хакеров. Она объединяет в себе множество инструментов безопасности и пользовательских модулей для разведки, эксплуатации уязвимостей, беспроводных атак, веб-взлома и многого другого.

PEGASUS-NEO - это фреймворк для тестирования на проникновение для специалистов по безопасности, предлагающий инструменты для различных векторов атак. Он включает в себя модули для разведки, эксплуатации, атак по беспроводным сетям и взлома веб-приложений. Фреймворк предназначен только для образовательных и этических целей; неавторизованное использование является незаконным. Разработчики не несут ответственности за неправильное использование. Программное обеспечение является собственническим, и его использование подлежит авторскому праву. Ключевые функции включают взлом паролей, сбор информации из открытых источников (OSINT) и различные методологии атак на сети и веб-приложения. Установка требует Python 3.8+, Linux и привилегий суперпользователя. Использование предполагает запуск скрипта и навигацию по меню-интерфейсу. PEGASUS-NEO включает в себя несколько известных инструментов безопасности и использует функции безопасности для защиты исходного кода. Проект в настоящее время является закрытым, и поддержка осуществляется по электронной почте. Программное обеспечение лицензируется под собственнической лицензией.

PEGASUS-NEO - A Comprehensive Penetration Testing Framework Designed For Security Professionals And Ethical Hackers. It Combines Multiple Security Tools And Custom Modules For Reconnaissance, Exploitation, Wireless Attacks, Web Hacking, And More kitploit.com

RSS Hunter • 24 апр. 2025 г.

Эксплойт Text4Shell - Пользовательский эксплойт на основе Python, доказательство концепции (PoC), нацеленный на уязвимость Text4Shell (CVE-2022-42889), критическую уязвимость удаленного выполнения кода в версиях Apache Commons Text < 1.10

Существует концептуальный эксплойт на основе Python для Text4Shell (CVE-2022-42889), критической уязвимости в Apache Commons Text. Эта уязвимость позволяет выполнять удаленный код в приложениях Java, использующих класс StringSubstitutor с включенной интерполяцией. Эксплуатация происходит через инъекцию зловредных выражений в уязвимый параметр, часто через параметр запроса data. Эксплойт использует синтаксис ${script:...} для выполнения произвольных системных команд. Этот конкретный PoC использует полезную нагрузку обратного доступа, отправленную через запрос POST. Пользователи должны адаптировать полезную нагрузку и путь запроса в зависимости от целевого приложения. Эксплойт предназначен только для образовательных целей и авторизованного тестирования на проникновение. Он был протестирован против версий Apache Commons Text до 1.10.0. Пользователи должны проявлять осторожность и использовать его ответственно.

Text4Shell-Exploit - A Custom Python-based Proof-Of-Concept (PoC) Exploit Targeting Text4Shell (CVE-2022-42889), A Critical Remote Code Execution Vulnerability In Apache Commons Text Versions < 1.10 kitploit.com

RSS Hunter • 23 апр. 2025 г.

Ghost-Route - Ghost Route обнаруживает, уязвим ли сайт Next.js для ошибки обхода поврежденного промежуточного слоя (CVE-2025-29927).

Скрипт на Python под названием Ghost-Route проверяет веб-сайты на Next.js на уязвимость CVE-2025-29927. Эта уязвимость позволяет получить несанкционированный доступ к защищенным маршрутам через пользовательский HTTP-заголовок. Уязвимости подвержены версии Next.js 11.1.4 и выше. Для работы со скриптом необходимо клонировать репозиторий и установить зависимости внутри виртуального окружения. Пользователи указывают базовый URL целевого веб-сайта и защищенный путь для тестирования. Дополнительный аргумент отображает заголовки ответов. Инструмент предназначен исключительно для образовательных целей, и несанкционированное использование не рекомендуется. Он создан на основе исследований Рашида А. Яссера Аллама по Next.js и поврежденному промежуточному программному обеспечению (middleware). Скрипт распространяется под лицензией MIT.

Ghost-Route - Ghost Route Detects If A Next JS Site Is Vulnerable To The Corrupt Middleware Bypass Bug (CVE-2025-29927) kitploit.com

RSS Hunter • 22 апр. 2025 г.

Bytesrevealer — онлайн-просмотрщик обратного инжиниринга

Bytes Revealer — это браузерный инструмент для обратного проектирования и анализа двоичных файлов, предназначенный для специалистов по безопасности и разработчиков. Он предлагает такие функции, как шестнадцатеричное отображение, визуализация данных, извлечение строк, вычисление энтропии и обнаружение сигнатур файлов. Файлы размером до 50 МБ анализируются полностью, а файлы большего размера (до 1,5 ГБ) — с ограниченными возможностями анализа. Созданный на Vue.js и использующий веб-воркеры для повышения производительности, Bytes Revealer выполняет анализ на стороне клиента без сохранения данных на сервере. Ключевые функции включают несколько представлений данных, расширенные возможности поиска и подробный анализ строк. Инструмент можно использовать через Docker или установить локально после клонирования репозитория GitHub. Производительность оптимизирована за счёт обработки файлов по частям и управления памятью. Bytes Revealer поддерживает современные браузеры, и приветствуются вклады через pull requests. В будущих улучшениях планируется расширенная поддержка форматов файлов и расширенные функции анализа.

Bytesrevealer - Online Reverse Enginerring Viewer kitploit.com

RSS Hunter • 21 апр. 2025 г.

ЦентрализованныйБрандмауэр - Предоставляет API менеджера брандмауэра, спроектированный для централизации и упрощения управления конфигурациями брандмауэра

Установка проекта API Firewall Manager начинается с клонирования репозитория из GitHub. Далее необходимо отредактировать файл .env, чтобы он соответствовал конкретной конфигурации пользователя. Docker Compose используется для запуска API в отсоединенном режиме. Статус работающих контейнеров можно проверить с помощью команды 'docker ps'. Чтобы настроить клиент брандмауэра, установите агент, предоставленный на сервере узла. Настройка включает в себя создание группы и API-ключа в Firewall Manager, а затем редактирование файла config.ini на сервере узла с URL API, API-ключом и именем хоста. Перезапустите агент брандмауэра, чтобы применить изменения и подтвердить его статус. Интеграция с SIEM требует настройки SIEM для отправки журналов в Firewall Manager с помощью специального формата POST-запроса, описанного в документации. Документация Swagger, доступная по предоставленной ссылке, содержит дополнительные сведения. Предоставляются стандартные учетные данные, но они могут быть изменены в настройках. Наконец, maintainers проекта приветствуют спонсирование через GitHub Sponsors.

CentralizedFirewall - Provides A Firewall Manager API Designed To Centralize And Streamline The Management Of Firewall Configurations kitploit.com

RSS Hunter • 20 апр. 2025 г.

Марям — платформа для разведки открытых источников (OSINT)

Maryam — это фреймворк с открытым исходным кодом для OSINT-разведки и сбора данных, обладающий модульной архитектурой для эффективного сбора информации. Он поддерживает различные операционные системы, включая Linux, FreeBSD, Darwin и OSX, и устанавливается через pip. Пользователи могут установить последнюю версию напрямую из репозитория GitHub. Maryam предлагает разнообразные модули, такие как поиск по DNS, YouTube и Google, управляемые с помощью параметров командной строки. Фреймворк поддерживает многопоточность и вывод API в формате JSON. Пользователи могут настраивать параметры, такие как прокси-сервер, user agent и таймаут. Для программного доступа можно запустить веб-API. Вклады приветствуются, руководства по добавлению модулей и использованию существующих поисковых систем доступны. Сообщения об ошибках и запросы на добавление новых функций можно отправлять через систему отслеживания ошибок.

Maryam - Open-source Intelligence(OSINT) Framework kitploit.com

RSS Hunter • 19 апр. 2025 г.

TruffleHog Explorer — удобный веб-инструмент для визуализации и анализа данных, извлеченных с помощью TruffleHog.

TruffleHog Explorer — это веб-инструмент, предназначенный для визуализации и анализа данных, полученных от TruffleHog, мощного инструмента с открытым исходным кодом для обнаружения секретов. TruffleHog помогает идентифицировать конфиденциальные данные, такие как ключи API и пароли, в репозиториях кода. Explorer обладает улучшенным пользовательским интерфейсом с мощными возможностями фильтрации, экспорта и пакетных операций, позволяя специалистам по безопасности эффективно проверять потенциальные секреты. В настоящее время панель управления в основном поддерживает вывод JSON от TruffleHog для GitHub, в будущих обновлениях планируется расширить совместимость. Ключевые функции включают интуитивно понятную навигацию, гибкую фильтрацию по различным критериям и массовую проверку/отклонение результатов. Пользователи могут экспортировать результаты в различных форматах и сохранять сессии для последующего просмотра. Для использования необходимо клонировать репозиторий, открыть index.html в браузере и загрузить файлы вывода JSON от TruffleHog. Затем пользователи могут фильтровать, просматривать результаты и экспортировать их по мере необходимости. Инструмент также предлагает динамическую сортировку и автоматическое резервное копирование сессий.

TruffleHog Explorer - A User-Friendly Web-Based Tool To Visualize And Analyze Data Extracted Using TruffleHog kitploit.com

RSS Hunter • 18 апр. 2025 г.

ПАНО - Расширенная платформа расследований OSINT, сочетающая визуализацию графа, анализ временной шкалы и помощь ИИ для обнаружения скрытых связей в данных

PANO — это мощная платформа для OSINT-расследований, которая объединяет визуализацию графов, анализ временных шкал и инструменты на базе искусственного интеллекта, чтобы помочь пользователям выявлять скрытые связи и закономерности в своих данных. Для начала пользователи могут клонировать репозиторий, запустить приложение и следовать сценарию запуска, чтобы настроить Python-окружение и установить зависимости. Платформа предлагает различные функции, включая интерактивную визуализацию графов, анализ временных шкал, интеграцию с картами, управление сущностями и интеграцию с искусственным интеллектом. Пользователи могут создавать расследования, добавлять сущности, обнаруживать связи, анализировать закономерности и сохранять свою работу для дальнейшего использования. Платформа поддерживает различные типы сущностей, включая адреса электронной почты, имена пользователей, веб-сайты, изображения, местоположения, события и текстовый контент. Система преобразований позволяет пользователям автоматизировать операции для обнаружения новой информации и отношений, а интеграция с искусственным интеллектом обеспечивает помощь в расследовании на естественном языке. Пользователи также могут создавать собственные сущности, преобразования и вспомогательные функции для расширения возможностей платформы. Приветствуются вклады в развитие платформы, и пользователи могут форкнуть репозиторий, внести изменения, протестировать и создать запрос на включение в основную ветку. Для работы платформы требуется Windows или Linux, Python 3.11+, PySide6 для графического интерфейса и подключение к Интернету для использования онлайн-функций. Проект лицензируется под лицензией Creative Commons Attribution-NonCommercial, позволяющей пользователям делиться, адаптировать и развивать материал в некоммерческих целях.

PANO - Advanced OSINT Investigation Platform Combining Graph Visualization, Timeline Analysis, And AI Assistance To Uncover Hidden Connections In Data kitploit.com

RSS Hunter • 17 апр. 2025 г.

Wappalyzer-Next - библиотека Python, использующая расширение Wappalyzer (и его отпечатки) для обнаружения технологий.

Wappalyzer-Next - это инструмент командной строки и библиотека Python, который обнаруживает технологии с помощью расширения Wappalyzer и его отпечатков. Он обходит ограничения других проектов, которые появились после того, как официальный открытый проект был прекращен. Чтобы установить Wappalyzer, необходимо установить Firefox и geckodriver. Geckodriver можно скачать со страницы официальных релизов GitHub и добавить в системный путь. Wappalyzer можно установить как инструмент командной строки с помощью pipx или как библиотеку с помощью pip. Его также можно установить и запустить с помощью Docker Compose. Инструмент можно использовать для сканирования одного или нескольких URL-адресов, с вариантами аутентификации, форматов вывода и типов сканирования. Библиотека Python доступна на PyPI и может быть импортирована как wappalyzer, с основной функцией под названием analyze(). Функция analyze принимает параметры, такие как URL-адрес, тип сканирования, потоки и cookie, и возвращает словарь с обнаруженными технологиями. Типы сканирования включают 'fast', 'balanced' и 'full', которые различаются по уровню HTTP-запросов и эмуляции браузера, используемой.

Wappalyzer-Next - Python library that uses Wappalyzer extension (and its fingerprints) to detect technologies kitploit.com

RSS Hunter • 16 апр. 2025 г.

Telegram-Checker - Инструмент на Python для проверки аккаунтов Telegram по номерам телефонов или именам пользователей

Проверка телефона Telegram - это скрипт на Python, который проверяет аккаунты Telegram с помощью номеров телефонов или имен пользователей. Он имеет возможность проверять одиночные или множественные номера телефонов и имена пользователей, импортировать номера из текстового файла и автоматически загружать фотографии профиля. Скрипт сохраняет результаты в файлах JSON и предоставляет подробную информацию о пользователе. Он также имеет безопасное хранение учетных данных и позволяет пользователям очищать сохраненные учетные данные. Чтобы установить скрипт, пользователи должны склонировать репозиторий и установить необходимые пакеты с помощью pip. Необходимые пакеты - telethon, rich, click и python-dotenv. Перед запуском скрипта пользователи должны настроить учетные данные API Telegram, свой номер телефона и код верификации. Скрипт может быть запущен из командной строки и предлагает шесть вариантов, включая проверку номеров телефонов или имен пользователей из ввода или файла, очистку сохраненных учетных данных и выход. Результаты сохраняются в папке results в виде файлов JSON и папке profile_photos с загруженными фотографиями профиля. Инструмент предназначен только для образовательных целей, и пользователи должны уважать условия обслуживания Telegram и приватность пользователей.

Telegram-Checker - A Python Tool For Checking Telegram Accounts Via Phone Numbers Or Usernames kitploit.com

RSS Hunter • 15 апр. 2025 г.

Torward — улучшенная версия, основанная на скриптах Torghost-Gn и Darktor, разработанная для повышения анонимности в интернете.

Torward, основанный на torghost-gn и darktor, усиливает онлайн-анонимность, принудительно пропуская весь компьютерный трафик через сеть Tor. Он предотвращает утечки данных и укрепляет конфиденциальность. Ключевые улучшения безопасности включают предотвращение утечек IPv6 путём отключения IPv6 и маршрутизации всего трафика через Tor. Строгие правила iptables блокируют не-Tor трафик, принудительно отправляя DNS-запросы через Tor и разрешая только необходимые соединения с портами Tor. Файл torward гарантирует, что весь трафик, включая DNS, использует Tor. Установка включает клонирование репозитория GitHub и запуск скрипта установки. Будущие улучшения включают отображение IP-адреса выходного узла с использованием API Tor. Также планируется надёжная обработка ошибок при отключении Tor и сетевых проблемах. Torward стремится обеспечить более высокий уровень анонимности и безопасности для онлайн-активности. Инструмент значительно укрепляет системные конфигурации против потенциальных утечек данных.

Torward - An Improved Version Based On The Torghost-Gn And Darktor Scripts, Designed To Enhance Anonymity On The Internet kitploit.com

RSS Hunter • 14 апр. 2025 г.

Instagram-Brute-Force-2024 — взлом Instagram 2024, совместимый с Python 3.13 / 64-битными системами / только браузер Chrome

Взлом Instagram методом грубой силы с поддержкой CPU/GPU, 2024 год.(Используйте опцию 2 при запуске скрипта.) (Опция 1 находится в разработке.) (Chrome должен быть установлен на устройстве.) Совместимость и тестирование (только операционные системы с графическим интерфейсом) Python 3.13 x64-битная версия, Unix/Linux/Mac/Windows 8.1 и выше.Установка необходимых компонентов: pip install -r requirements.txt Запуск: python3 instagram_brute_force.py [имя_пользователя_instagram_без_хэштега] Например: python3 instagram_brute_force.py mrx161 Скачать Instagram-Brute-Force-2024

Instagram-Brute-Force-2024 - Instagram Brute Force 2024 Compatible With Python 3.13 / X64 Bit / Only Chrome Browser kitploit.com

RSS Hunter • 13 апр. 2025 г.

QuickResponseC2 - Сервер управления и контроля, использующий QR-коды для отправки команд и получения результатов с удаленных систем

QuickResponseC2 - это скрытая система управления и контроля (C2), которая позволяет осуществлять косвенную и скрытую связь между компьютером атакующего и компьютером жертвы через промежуточный HTTP/S-сервер. Она позволяет выполнять команды и получать результаты через QR-коды, что делает ее незаметной для систем IPS/IDS. Инструмент включает встроенный HTTP-сервер, который облегчает получение компьютером жертвы QR-кодов команд и отправку результатов обратно на сервер в виде изображений QR-кодов. QuickResponseC2 работает незаметно, обеспечивая скрытый способ взаимодействия с компьютером жертвы без срабатывания систем безопасности. Инструмент идеален для оценки безопасности или тестирования методологий управления и контроля без обнаружения. Он имеет удобный интерфейс командной строки, который позволяет пользователям легко настраивать сервер C2, отправлять команды и получать результаты. Инструмент автоматически сохраняет все QR-коды в каталоге server_files, используя последовательные имена файлов. Декодирование и обработка файлов результатов осуществляются без проблем. Чтобы использовать QuickResponseC2, пользователи должны сначала установить зависимости, а затем запустить файл main.py. Инструмент предоставляет демонстрацию и обзор рабочего процесса, в котором описаны шаги, необходимые для использования QuickResponseC2. Разработчик приветствует вклад и запросы на добавление новых функций для улучшения инструмента.

QuickResponseC2 - A Command & Control Server That Leverages QR Codes To Send Commands And Receive Results From Remote Systems kitploit.com

RSS Hunter • 12 апр. 2025 г.

Telegram-Scraper - Мощный скрипт на Python, позволяющий извлекать сообщения и медиафайлы из каналов Telegram с помощью библиотеки Telethon

"Telegram-Scraper - это мощный скрипт на Python, который позволяет пользователям извлекать сообщения и медиафайлы из каналов Telegram с помощью библиотеки Telethon. Он имеет функции непрерывного извлечения в режиме реального времени, скачивания медиафайлов и экспорта данных. Чтобы использовать скрипт, пользователям нужен Python 3.7 или выше, аккаунт Telegram и API-ключи от Telegram. Скрипт может извлекать сообщения из нескольких каналов, скачивать медиафайлы и экспортировать данные в форматах JSON и CSV. Также он имеет функцию возобновления, повторную обработку медиафайлов и отслеживание прогресса. Скрипт использует интерактивное меню и хранит данные в базах данных SQLite. Медиафайлы хранятся в отдельной папке, а данные можно экспортировать в форматах CSV и JSON. Скрипт имеет функции, такие как непрерывное извлечение, обработка медиафайлов и обработка ошибок, но также имеет ограничения, такие как соблюдение ограничений скорости Telegram и ограничений размера скачивания медиафайлов. Вклад в проект приветствуется, и он лицензирован под лицензией MIT. Инструмент предназначен только для образовательных целей, и пользователи должны уважать Условия обслуживания Telegram и использовать его ответственно и этично.

Telegram-Scraper - A Powerful Python Script That Allows You To Scrape Messages And Media From Telegram Channels Using The Telethon Library kitploit.com

RSS Hunter • 11 апр. 2025 г.

Мухтар - Инструмент удаленного администрирования Android

Муктар - это инструмент для удаленного администрирования устройств Android, который предоставляет различные функции для мониторинга и управления устройством. Инструмент может обойти разрешения на Android 12 и ниже, и он включает в себя клавиатурный шпион, прослушиватель уведомлений, прослушиватель SMS, запись звонков, захват изображений и видеозапись. Он также имеет функцию сохранения, что позволяет ему оставаться активным даже после перезапуска устройства. Инструмент может читать и записывать контакты, список установленных приложений, загружать и загружать файлы, а также получать местоположение устройства. Чтобы установить Муктар, пользователи должны клонировать репозиторий, установить необходимые зависимости и настроить базу данных и веб-сокет сервер. Инструмент включает в себя панель управления для просмотра журналов и управления устройством. Существуют некоторые известные проблемы с инструментом, включая проблемы с захватом экрана, захватом изображений и видеозаписью, когда приложение не находится в фокусе, и загрузкой файлов с помощью DownloadManager. Разработчик инструмента определил эти проблемы и планирует исправить их в будущих обновлениях. Муктар доступен для скачивания на GitHub.

Moukthar - Android Remote Administration Tool kitploit.com

RSS Hunter • 10 апр. 2025 г.

Лобо Гуара - Платформа разведки киберугроз

Платформа кибербезопасности Lobo Guará предлагает инструменты разведки киберугроз (CTI). Она ofrece функции, такие как поиск и мониторинг сертификатов SSL, что позволяет идентифицировать угрозы. Функция отслеживания ссылок помогает собрать информацию о устройствах атакующих. Сканирование доменов и URL-адресов предоставляет подробную информацию, такую как информация WHOIS, поддомены и веб-пути. Сканирование URL-адресов генерирует скриншоты и зеркала, что помогает в закрытии вредоносных сайтов, а мониторинг URL-адресов автоматически сканирует URL-адрес при повторной активации. Lobo Guará также отслеживает утечки данных из хакерских форумов и позволяет искать скомпрометированные учетные данные. Потоки разведки угроз информируют пользователей о последних угрозах. Установка поддерживается на Ubuntu и Red Hat, а также доступна для развертывания с помощью Docker. Зависимости включают PostgreSQL, Python 3.12, ChromeDriver, Google Chrome, FFUF и Subfinder. Онлайн-платформа доступна по адресу https://loboguara.olivsec.com.br/.

Lobo Guará - Cyber Threat Intelligence Platform kitploit.com

RSS Hunter • 9 апр. 2025 г.

Telegram-Story-Scraper - Скрипт на Python, позволяющий автоматически собирать и скачивать истории из ваших друзей в Telegram

Этот скрипт на Python использует библиотеку Telethon для скачивания историй (Stories) из Telegram от друзей. Из-за ограничений API Telegram он получает доступ только к историям тех друзей, которые разрешили просмотр своих историй. Скрипт скачивает фотографии и видео, сохраняя метаданные в базе данных SQLite и экспортируя их в Excel. Он работает непрерывно, проверяя наличие новых историй с настраиваемым интервалом (по умолчанию 60 секунд). Для работы необходимы Python 3.7+, библиотеки Telethon, openpyxl, schedule, а также учётные данные API Telegram. Пользователи должны получить свой API ID и hash в инструментах разработки API Telegram. Скрипт подключается к Telegram, проверяет наличие новых историй, скачивает медиафайлы и сохраняет данные. Он обрабатывает ошибки, повторяет попытки загрузки при неудаче и сохраняет состояние между запусками. Медиафайлы сохраняются с уникальными именами файлов, а скрипт распространяется по лицензии MIT. Скрипт предназначен для образовательных целей, и пользователи должны соблюдать условия обслуживания Telegram и уважать конфиденциальность пользователей. Вклад приветствуется.

Telegram-Story-Scraper - A Python Script That Allows You To Automatically Scrape And Download Stories From Your Telegram Friends kitploit.com

RSS Hunter • 8 апр. 2025 г.

gitGRAB - это инструмент, предназначенный для взаимодействия с API GitHub и получения определенных данных о пользователях, информации о репозиториях и адресов электронной почты коммитов для указанного пользователя.

Этот инструмент предназначен для взаимодействия с API GitHub и получения подробной информации о пользователе, данных о репозиториях и адресах электронной почты коммитов для указанного пользователя.Установка Requests: pip install requestsЗапуск программы: python3 gitgrab.pyСкачать gitGRAB

gitGRAB - This Tool Is Designed To Interact With The GitHub API And Retrieve Specific User Details, Repository Information, And Commit Emails For A Given User kitploit.com

RSS Hunter • 7 апр. 2025 г.

Снуп - инструмент OSINT для исследования социальных сетей по имени пользователя

OSINT-инструмент для исследования аккаунтов социальных сетей по имени пользователя Установить Requests Установить Requests pip install requests #### Установить BeautifulSoup Установить BeautifulSoup pip install beautifulsoup4 Выполнить программу Выполнить Snoop python3 snoop.py Скачать Snoop

Snoop - OSINT Tool For Research Social Media Accounts By Username kitploit.com

RSS Hunter • 6 апр. 2025 г.

Lazywarden - Автоматическое резервное копирование Bitwarden

Lazywarden - это инструмент автоматизации на языке Python, который обеспечивает безопасное резервное копирование и восстановление данных из хранилищ Bitwarden, включая вложения. Он предлагает максимальную безопасность с помощью шифрования AES-256 и производного ключа Argon2. Инструмент автоматизирует резервное копирование и импорт, обеспечивая целостность данных с помощью верификации хеша SHA-256. Резервные копии могут храниться на нескольких облачных сервисах, включая Dropbox, Google Drive и другие, а также локально. Пользователи получают реальные уведомления в режиме реального времени на платформах Discord, Telegram и Slack. Lazywarden интегрируется с инструментами управления расписанием, такими как CalDAV, Todoist и Vikunja, для бесшовного отслеживания и уведомлений по электронной почте. Инструмент может быть легко развернут с помощью Docker Compose и позволяет настроить полную автоматизацию и tùyсcheduling параметры. Кроме того, Lazywarden позволяет экспортировать элементы Bitwarden в базу данных KeePass, включая логины с семенами TOTP и вложения. С своими функциями Lazywarden обеспечивает всестороннюю систему резервного копирования и импорта для пользователей Bitwarden. Инструмент доступен для скачивания, предлагая безопасное и автоматизированное решение для управления данными Bitwarden.

Lazywarden - Automatic Bitwarden Backup kitploit.com

RSS Hunter • 5 апр. 2025 г.

Docf-Sec-Check - DockF-Sec-Check Помогает Сделать Ваши Команды Dockerfile Более Безопасными

DocF-Sec-Check - это инструмент, предназначенный для повышения безопасности команд Dockerfile. Он направлен на предоставление уведомлений о безопасности на разных уровнях, включая сам Dockerfile и образы Docker. Установка возможна через virtualenv, PyPI с помощью pip, сборку из Dockerfile или напрямую из DockerHub. Чтобы использовать его из Dockerfile или DockerHub, необходимо указать локальный путь к Dockerfile для сканирования. Инструмент также можно интегрировать в код Python, импортируя класс DocFChecker. Информация о вкладе и разработке доступна в файле CONTRIBUTING.md. Проект лицензируется под GPL-3.0, и поддержка разработчика приветствуется через пожертвования или GitHub Sponsors. Инструмент помогает выявлять и устранять потенциальные уязвимости безопасности в Dockerfiles. Разработан и поддерживается Османом Кандемиром.

Docf-Sec-Check - DockF-Sec-Check Helps To Make Your Dockerfile Commands More Secure kitploit.com

RSS Hunter • 4 апр. 2025 г.

SafeLine - служит в качестве обратного прокси для защиты ваших веб-сервисов от атак и эксплойтов

SafeLine - это самохостируемый веб-приложение брандмауэр (WAF), разработанный для защиты веб-приложений от различных атак и эксплойтов. Он фильтрует и отслеживает HTTP-трафик между веб-приложением и Интернетом, защищая от SQL-инъекций, XSS, инъекций кода и других угроз. SafeLine работает как обратный прокси, защищая сервер от воздействия, фильтруя вредоносный трафик до его достижения сервера. Его основные возможности включают защиту от веб-атак, проактивную защиту от злоупотреблений ботами, шифрование кода HTML и JS, ограничение скорости на основе IP-адресов и списки управления доступом к веб-сайтам. WAF также предоставляет живую демонстрацию и предлагает несколько ключевых функций, таких как блокировка веб-атак, ограничение скорости для защиты от DoS-атак, антибот-вызовы, аутентификационные вызовы и динамическая защита за счет шифрования кода. SafeLine можно загрузить, чтобы повысить безопасность веб-приложений.

SafeLine - Serve As A Reverse Proxy To Protect Your Web Services From Attacks And Exploits kitploit.com

RSS Hunter • 24 сент. 2024 г.

PolyDrop - набор инструментов для быстрого развертывания полезной нагрузки BYOSI (Bring Your-Own-Script-Interpreter)

BYOSI (принеси_свой_интерпретатор_скриптов) — это метод, который позволяет атакующим передавать вредоносный интерпретатор скриптов и исходный код в целевую систему, которые затем могут исполняться надежным интерпретатором скриптов. PolyDrop — это инструмент, который использует 13 скриптовых языков для выполнения таких атак. Многие поставщики антивирусов, в том числе MS-Defender, не обнаруживают вредоносные скрипты в таких языках, как Tcl, PHP, Crystal и Julia. Эти языки часто игнорируются поставщиками антивирусов, что позволяет атакующим исполнять вредоносный код незамеченными. PolyDrop в настоящее время не обнаруживается большинством распространенных поставщиков решений EDR (обнаружение и реагирование на конечных точках). Многие поставщики не могут сканировать или обрабатывать файлы PHP-типов, а еще больше поставщиков не могут точно идентифицировать вредоносные PHP-скрипты. Создатели PolyDrop утверждают, что их инструмент предназначен только для легального тестирования на проникновение и образовательных целей и что они не несут ответственности за его ненадлежащее использование. Инструмент модульный и разработан так, чтобы его можно было обновлять новыми функциями в будущем. Пользователям рекомендуется использовать этот инструмент ответственно и в соответствии с применимыми законами. PolyDrop доступен для загрузки.

PolyDrop - A BYOSI (Bring-Your-Own-Script-Interpreter) Rapid Payload Deployment Toolkit kitploit.com

RSS Hunter • 23 сент. 2024 г.

Secator - швейцарский нож пентестера

Secator - это инструмент для запуска задач и потоков работы, предназначенный для оценок безопасности, поддерживающий десятки известных инструментов безопасности, чтобы повысить производительность для тестировщиков на проникновение и исследователей в области безопасности. Он включает в себя тщательно отобранный список команд, унифицированные параметры ввода, унифицированную схему вывода, а также использование CLI и библиотеки. Secator также поддерживает распределенные варианты с Celery и позволяет настраивать параметры. Инструмент интегрируется с разными инструментами безопасности, включая httpx, cariddi, gau и gospider, среди прочих.Secator можно установить с помощью pipx, pip, Bash, Docker или Docker Compose. После установки пользователи могут потребоваться языки, используемые внешними инструментами, такие как Go и Ruby, и установка или обновление поддерживаемых инструментов. Кроме того, secator предлагает разные дополнения, включая поддержку работников Celery, экспортер Google Drive и драйвер MongoDB.Чтобы обеспечить надлежащую установку, пользователи могут проверить состояние установки с помощью команды secator health. Secator предоставляет разные примеры использования, включая запуск задач fuzzing, поток работы URL crawl и сканирование хостов. Пользователи также могут просмотреть все доступные задачи, потоки работы и сканирования, используя команды secator x --help, secator w --help и secator s --help. Для получения дополнительной информации пользователи могут обратиться к полному руководству, видеоуроку по началу работы и публикации в Medium.

Secator - The Pentester'S Swiss Knife kitploit.com

RSS Hunter • 22 сент. 2024 г.

Проклятый Уязвимый Дрон - Симулятор Хакинга Дронов с Умышленными Уязвимостями, Основанный на Популярной Архитектуре ArduPilot/MAVLink, Предоставляющий Реалистичную Среду для Практического Хакинга Дронов

Проклятый Уязвимый Дрон - это виртуально симулированная среда, предназначенная для специалистов по офенсивной безопасности, чтобы безопасно изучать и практиковать техники хакинга дронов. Она симулирует реальные архитектуры дронов ArduPilot и MAVLink, а также уязвимости, предлагая практический опыт эксплуатации систем дронов. Целью Проклятого Уязвимого Дрона является улучшение навыков офенсивной безопасности в контролируемой среде, что делает его ценным инструментом для специалистов среднего уровня, pentesterов и энтузиастов хакинга. Платформа является открытым исходным кодом и доступна бесплатно, что решает проблему значительных расходов, связанных с аппаратным обеспечением дронов, инструментами хакинга и обслуживанием. Проклятый Уязвимый Дрон работает на основе принципа программного обеспечения в петле (SITL), техники симуляции, которая позволяет пользователям запускать программное обеспечение дронов, как если бы оно выполнялось на реальном дроне, тем самым реплицируя аутентичное поведение и ответы дронов. SITL ArduPilot позволяет выполнять фирмваре дронов в виртуальной среде, имитируя поведение реального дрона без необходимости в физическом аппаратном обеспечении. Эта симуляция дополнительно усиливается с помощью Gazebo, динамического 3D-симулятора роботов, который предоставляет реалистичную среду и физический движок для взаимодействия дронов. Установка Проклятого Уязвимого Дрона не отражает каждую архитектуру или конфигурацию дронов, но интегрированные тактики, техники и сценарии применимы к различным системам дронов, моделям и протоколам связи. Проклятый Уязвимый Дрон имеет среду на основе Docker, симулированную беспроводную сеть, потоковое видео с камеры и гимбала, веб-интерфейс компаньона, интеграцию QGroundControl/MAVProxy, интеграцию маршрутизатора MAVLink, динамический журнал полетов, веб-консоль управления, всесторонние сценарии хакинга и подробные инструкции.

Damn-Vulnerable-Drone - An Intentionally Vulnerable Drone Hacking Simulator Based On The Popular ArduPilot/MAVLink Architecture, Providing A Realistic Environment For Hands-On Drone Hacking kitploit.com

RSS Hunter • 21 сент. 2024 г.

File-Unpumper - Инструмент, который может быть использован для удаления бесполезных вещей из файла PE, таких как вещи, которые добавлялись бы файл-помпой.

File-unpumper - это мощный утилита командной строки для чистки и анализа исполняемых файлов Portable Executable. Она предлагает разные функции, чтобы помочь разработчикам и профессионалам в области безопасности работать с PE-файлами более эффективно. Инструмент может исправлять и выравнивать заголовки PE, извлекать встроенные ресурсы и анализировать метаданные. File-unpumper также может удалить "накаченные" или заполенные данные из PE-файла, в результате чего получается очищенная версия исполняемого файла. Эта функция полезна для анализа вредоносного ПО, обратной разработки или уменьшения размера файла. Утилита использует параллельную обработку для эффективной работы и отображает прогресс-бар во время процесса чистки файла. File-unpumper написана на Rust и может быть легко установлена с помощью диспетчера пакетов Cargo. Инструмент предоставляет разные опции, включая исправление заголовков, извлечение ресурсов и анализ метаданных. Пользователи могут выполнять несколько операций над файлом, комбинируя эти опции. Вклады в file-unpumper приветствуются, и инструмент выпущен под лицензией MIT.

File-Unpumper - Tool That Can Be Used To Trim Useless Things From A PE File Such As The Things A File Pumper Would Add kitploit.com

RSS Hunter • 20 сент. 2024 г.

Mass-Assigner - Простой инструмент, предназначенный для проверки уязвимости массового присвоения через модификацию JSON-полей в HTTP-запросах

Mass Assigner - это инструмент, выявляющий уязвимости массового присвоения в веб-приложениях путем извлечения данных из указанного запроса и применения извлеченных параметров ко второму запросу. Он поддерживает настройку HTTP-методов, добавление пользовательских заголовков и ограничение скорости. Mass Assigner игнорирует указанные параметры во время выполнения и поддерживает вложенные массивы/объекты в JSON-данных. Установка включает в себя установку требований с помощью pip3. Аргументы включают --fetch-from, --target-req, --header, --proxy, --data, --rate-limit, --source-method, --target-method и --ignore-params. Пример использования демонстрирует, как задать параметры и указать пользовательские заголовки, прокси и данные. Mass Assigner активно изменяет данные на стороне сервера, поэтому перед использованием требуется авторизация. Несанкционированные или незаконные действия осуществляются на свой страх и риск пользователя. В планах на будущее - поддержка дополнительных типов контента. Скачайте Mass Assigner, чтобы улучшить тестирование безопасности вашего веб-приложения.

Mass-Assigner - Simple Tool Made To Probe For Mass Assignment Vulnerability Through JSON Field Modification In HTTP Requests kitploit.com

RSS Hunter • 19 сент. 2024 г.

Imperius - сделайте руткит для ядра Linux снова видимым

Средство для выявления скрытых LKM-роуткитов разрабатывается в рамках текущих исследований. Это средство извлекает памятный адрес видимости функции руткита и вызывает его, чтобы раскрыть руткит, позволяя удалить его. Для ядер, не имеющих необходимой адресной информации, средство сканирует память ядра, чтобы найти и раскрыть руткит. Кроме того, альтернативный метод удаления LKM-роуткитов разрабатывается и будет представлен в будущих исследованиях.

Imperius - Make An Linux Kernel Rootkit Visible Again kitploit.com

RSS Hunter • 18 сент. 2024 г.

BYOSI - обход EDR простым способом, не трогая ни один из API, к которым они подключаются

Решения EDR часто упускают из виду файлы скриптов, сосредотачиваясь на бинарных имплантатах. Это упущение представляет собой возможность для атакующих. BYOSI (Принеси свой собственный интерпретатор скриптов) использует это, используя подписанные интерпретаторы скриптов, которые обходят обнаружение EDR. Скрипт PHP, подписанный его создателем, может выполняться на системах, защищенных CrowdStrike и Trellix, без срабатывания сигналов тревоги. Скрипт извлекает и извлекает архив PHP, а затем выполняет имплантат с помощью белого списка PHP-бинаря. Этот метод избегает обнаружения EDR, позволяя атакующим установить активную оболочку на целевой системе. Даже скрипты PowerShell могут избежать обнаружения EDR всего за четыре строки кода. Доверенный статус развертчика GitHub еще больше усиливает эффективность этой атаки. Скрипт демонстрирует уязвимость решений EDR к атакам на файлы скриптов. Автор подчеркивает, что он не несет ответственности за злоупотребление этим методом, но подчеркивает его как значительную слепую зону в защите EDR. Возможно, потребуется изменение скрипта PHP, чтобы избежать обнаружения Microsoft Defender. Sentinel One также может быть уязвим для этой атаки, поскольку, как сообщается, он не может сканировать файлы типа PHP.

BYOSI - Evade EDR's The Simple Way, By Not Touching Any Of The API's They Hook kitploit.com

RSS Hunter • 17 сент. 2024 г.

Psobf - Обфускатор PowerShell

Psobf - это инструмент на основе Go, который защищает скрипты PowerShell от анализа и обнаружения. Он предлагает пять уровней зашифрования, от простого разделения символов до фрагментации скрипта. Каждый уровень добавляет сложность, с 4-м уровнем, использующим сжатие, и 5-м уровнем, фрагментирующим скрипт для реконструкции во время выполнения. Имена переменных также зашифрованы. Инструмент прост в использовании, требует только входной файл скрипта, имя выходного файла и желаемый уровень зашифрования в качестве аргументов командной строки. Примеры зашифрованных скриптов предоставляются для каждого уровня, демонстрируя преобразование исходного скрипта. Psobf предназначен для образовательных и исследовательских целей и не должен использоваться для злонамеренных действий.

Psobf - PowerShell Obfuscator kitploit.com

RSS Hunter • 16 сент. 2024 г.

ModTracer - ModTracer находит скрытые rootkits ядра Linux и снова делает их видимыми

ModTracer обнаруживает скрытые корневые комплекты Linux ядра и делает их видимыми снова.Другой способ сделать LKM видимым - использовать трюк Imperius: https://github.com/MatheuZSecurity/Imperius Скачайте ModTracer

ModTracer - ModTracer Finds Hidden Linux Kernel Rootkits And Then Make Visible Again kitploit.com

RSS Hunter • 15 сент. 2024 г.

"DockerSpy - DockerSpy производит поиск изображений на Docker Hub и извлекает конфиденциальную информацию, такую как аутентификационные секреты, закрытые ключи и другое".

DockerSpy - это инструмент, который сканирует Docker Hub на предмет открытых секретов в образах контейнеров. Docker Hub - это репозиторий, где разработчики хранят и обмениваются образами контейнеров. Анализируя эти образы, DockerSpy может обнаружить конфиденциальную информацию, такую как секреты аутентификации, закрытые ключи и другое. Это может помочь организациям выявить потенциальные риски безопасности, предотвратить утечки данных и улучшить общую безопасность.DockerSpy работает, используя регулярные выражения для проверки содержимого образов Docker на наличие конфиденциальной информации. Его можно настроить для удовлетворения конкретных потребностей путем редактирования регулярных выражений и игнорируемых расширений файлов. DockerSpy предназначен только для образовательных и исследовательских целей, и пользователи несут ответственность за то, чтобы их использование соответствовало применимым законам и правилам.Чтобы использовать DockerSpy, клонируйте репозиторий, установите необходимые зависимости и запустите инструмент из терминала. Инструмент имеет открытый исходный код, и приветствуются вклады.DockerSpy - это ценный инструмент для организаций, которые хотят улучшить безопасность своих контейнеризированных приложений. Он может помочь выявить открытые секреты, предотвратить утечки данных и обеспечить соблюдение стандартов безопасности.

DockerSpy - DockerSpy Searches For Images On Docker Hub And Extracts Sensitive Information Such As Authentication Secrets, Private Keys, And More kitploit.com

RSS Hunter • 14 сент. 2024 г.

Ashok - инструмент разведки OSINT, он же швейцарский армейский нож

Ashok - это быстрый инструмент для разведки, предназначенный для фазы разведки при тестировании на проникновение, собирающий информацию перед фактическими атаками. Он включает в себя функции, такие как Wayback Crawler Machine, Google Dorking без ограничений, Github Information Grabbing, Subdomain Identifier и CMS/Technology Detector с пользовательскими заголовками. Чтобы использовать Ashok, клонируйте репозиторий, установите требования и обратитесь к подробному руководству по использованию в Wiki. Некоторые ключевые опции включают в себя извлечение HTTP-заголовков, выполнение DNS- и поддоменных запросов, обнаружение CMS и сканирование портов. Ashok также можно запустить с помощью легковесного образа Docker. Авторство принадлежит hackertarget за разработку инструмента.

Ashok - A OSINT Recon Tool, A.K.A Swiss Army Knife kitploit.com

RSS Hunter • 26 июн. 2024 г.